Vurdering av håndtering av sårbarhetsvarsler for CyberHoot (VAMP): Kritisk/rød Kan 19th, 2022CyberHoot har fått kjennskap til en rekke sårbarheter i VMware-programvare som ble sporet opp. CVE-2022-22954 (Basispoengsum: 9.8/10) og CVE-2022-22960 (Basispoengsum: 7.8/10), og blir aktivt utnyttet av hackere. Disse sårbarhetene påvirker visse versjoner av VMware Workspace ONE Access, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation og vRealize Suite Lifecycle Manager. Utnyttelse av disse sårbarhetene lar hackere utløse en malinjeksjon på serversiden som kan føre til Remote Code Execution (RCE) (CVE-2022-22954) eller eskalering av rettigheter til root (CVE-2022-22960).
VMware ga ut oppdateringer for begge sårbarhetene 6. april 2022, og ifølge CISA klarte hackere å reversere utviklingen av oppdateringene for å utvikle et angrep innen 48 timer, og begynte raskt å utnytte de avslørte sårbarhetene i uoppdaterte enheter. CISA ble gjort oppmerksom på dette angrepet en uke senere og la til CVE-2022-22954 og CVE-2022-22960 i sin katalog over Kjente utnyttede sårbarheter henholdsvis 14. og 15. april. I samsvar med Bindende driftsdirektiv (BOD) 22-01, Reduksjon av betydelig risiko for kjente utnyttede sårbarheter, føderale etater var pålagt å installere oppdateringer for CVE-2022-22954 og CVE-2022-22960 innen henholdsvis 5. og 6. mai 2022.
CVE-2022-22954 lar en aktør med nettverkstilgang utløse en malinjeksjon på serversiden som kan resultere i RCEDenne sårbarheten påvirker følgende produkter:
CVE-2022-22960 lar hackere med lokal tilgang eskalere rettigheter til root på grunn av feil tillatelser i støtteskript. Denne sårbarheten påvirker følgende produkter:
I følge CISA, trusselaktører kan lenke disse sårbarhetene. I en kompromittert organisasjon i april 2022, en uautentisert En aktør med nettverkstilgang til webgrensesnittet utnyttet CVE-2022-22954 til å utføre en vilkårlig skallkommando som en VMware-bruker. Aktøren utnyttet deretter CVE-2022-22960 til å eskalere brukerens rettigheter til root. Med root-tilgang kunne aktøren slette logger, eskalere tillatelser og flytte sidelengs til andre systemer.
Oppdater VMware-systemene dine så snart som mulig, eller fjern den berørte programvaren fra nettverket ditt inntil en oppdatering kan installeres.
For å holde seg oppdatert til enhver tid, er det viktig å implementere en skybasert løsning for oppdateringsadministrasjon for å automatisk oppdatere programvare når og hvor det er nødvendig. De fleste leverandører av administrerte tjenester benytter seg av en av de tre store Fjernovervåking og styring (RMM) løsninger (Connect, Dattoog Kaseya) for å patche sine administrerte systemer. Disse RMM-løsningene tilbyr også overvåking og fjerntilgang i tillegg til testede og validerte patchtjenester til kundene sine.
Frittstående løsninger for patchhåndtering for selskaper som ikke bruker de ovennevnte RMM-løsningene inkluderer ManageEngine og Automox.
Hvis du abonnerer på CyberHoots tjenester, har du tilgang til vårt bibliotek for retningslinjer og prosesser, som inneholder dokumentet for håndtering av sårbarhetsvarsler. Dette dokumentet beskriver hvordan man skal reagere på slike situasjoner og innen hvilken tidsramme. Hvis bedriften din ennå ikke har tatt i bruk en VAMP-lignende prosess, er det nå et godt tidspunkt å komme i gang.
Oppdag og del de nyeste trendene, tipsene og beste praksisene innen cybersikkerhet – i tillegg til nye trusler du bør se opp for.
Du har nå fem viktige grunner til å starte en samtale om rutersikkerhet med småbedriftskunderne dine i dag...
Les mer
OAuth-tokener utløper ikke når ansatte slutter, passord endres eller apper blir uønskede. Sikkerhetsprogrammet ditt trenger...
Les mer
De fleste sikkerhetsbrudd starter ikke med at en hacker i hettegenser knekker kode klokken 3. De starter med brukernavnet ditt og en...
Les merFå et skarpere blikk på menneskelige risikoer, med den positive tilnærmingen som slår tradisjonell phishing-testing.
